Rockwell Automation’ın ControlLogix ve GuardLogix kontrolörlerinde kritik bir güvenlik açığı keşfedildi. Bu güvenlik açığı, saldırganların güvenlik önlemlerini atlatmasına ve endüstriyel kontrol sistemlerine yetkisiz erişim elde etmesine olanak tanıyabilir.
Claroty’s Team82’deki araştırmacılar, CVE-2024-6242 olarak tanımlanan açığı keşfettiler. Bu, Rockwell’in 1756 ControlLogix cihazlarının çeşitli modellerini etkiledi.
CVSS v3.1 taban puanı 8.4 olan bu güvenlik açığı, saldırganların ControlLogix denetleyicilerindeki “güvenilir yuva” özelliğini atlatmasını sağlar. Bu güvenlik mekanizması, yalnızca yetkili yuvaların birbirleriyle iletişim kurabilmesini sağlayarak ControlLogix şasisi içindeki politikaları uygulamak için tasarlanmıştır.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Ancak keşfedilen kusur, kötü niyetli kişilerin CIP (Ortak Endüstriyel Protokol) yönlendirmesini kullanarak 1756 şasisi içindeki yerel arka panel yuvaları arasında “atlamasına” olanak tanıyor ve böylece CPU’yu güvenilmeyen kartlardan korumak için güvenlik sınırını etkili bir şekilde aşıyor.
Bu güvenlik açığından yararlanmak, cihaza ağ erişimi olan bir saldırganın PLC CPU’suna yükseltilmiş komutlar göndermesine izin verebilir; örneğin, mantık indirme veya kullanıcı projelerini ve cihaz yapılandırmalarını değiştirme. Bu, bu denetleyicilerin dağıtıldığı endüstriyel ortamlar için önemli bir risk oluşturur.
Etkilenen ürünler şunlardır:
- KontrolLogix 5580 (1756-L8z)
- GuardLogix 5580 (1756-L8zS)
- 1756-EN4TR
- 1756-EN2T, 1756-EN2F, 1756-EN2TR ve 1756-EN3TR’nin çeşitli modelleri
Rockwell Automation, güvenlik açığını gidermek için aygıt yazılımı güncellemeleri yayınladı. Kullanıcılara, cihazlarını üreticinin en son aygıt yazılımı sürümlerine güncellemeleri şiddetle tavsiye edilir.
Rockwell, güncellemeyi hemen yapamayanlar için bir hafifletme önlemi olarak, kontrol cihazlarında izin verilen CIP komutlarının mod anahtarının RUN konumuna ayarlanmasını öneriyor.
Claroty, olası istismar girişimlerini tespit etmeye yardımcı olmak için, yerel şasi güvenliğini aşma girişimlerini gösterebilecek şüpheli CIP İleri Açık İsteklerini tanımlamak üzere tasarlanmış bir Snort kuralı yayınladı.
alert tcp any any -> any 44818 (content: "|6f 00|"; offset:0; pcre:"/\x54.*\xa3[^\x00-\x03](\x01[\x00-\x16]){2,}\x20\x02\$\x01/ms"; msg: " CVE-2024-6242: CIP suspicious forward open (might be used to bypass local chassis security)";
Etkilenen Rockwell Automation cihazlarını kullanan kuruluşların risk maruziyetlerini değerlendirmeleri ve sistemlerini olası saldırılardan korumak için gerekli güncellemeleri ve hafifletmeleri uygulamaları önemle rica olunur.
Endüstriyel sistemler giderek daha fazla birbirine bağlandıkça, CVE-2024-6242 gibi güvenlik açıkları, kritik altyapıyı hedef alan siber tehditlere karşı koruma sağlamak için operasyonel teknoloji (OT) ortamlarında sağlam güvenlik önlemlerine ve sürekli izleme ihtiyacının altını çiziyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access